Антропогенными источниками угроз безопасности информации выступают субъекты, действия которых могут быть квалифицированы как умышленные или случайные преступления. Только в этом случае можно говорит о причинении ущерба.
В качестве антропогенного источника угроз можно рассматривать субъекта, имеющего доступ (санкционированный или несанкционированный) к работе со штатными средствами защищаемого объекта. Субъекты (источники), действия которых могут привести к нарушению безопасности информации могут быть как внешние [I.A.], так и внутренние [I.B.].
Внешние источники могут быть случайными или преднамеренными и иметь разный уровень квалификации. К ним относятся:
криминальные структуры;
потенциальные преступники и хакеры;
недобросовестные партнеры;
технический персонал поставщиков телематических услуг;
представители надзорных организаций и аварийных служб; сообщение с этой целью заведомо ложных сведений
представители силовых структур.
Внутренние субъекты (источники), как правило, представляют собой высококвалифицированных специалистов в области разработки и эксплуатации программного обеспечения и технических средств, знакомы со спецификой решаемых задач, структурой и основными функциями и принципами работы программно-аппаратных средств защиты информации, имеют возможность использования штатного оборудования и технических средств сети. К ним относятся:
|
|
основной персонал (пользователи, программисты, разработчики);
представители службы защиты информации;
вспомогательный персонал (уборщики, охрана);
технический персонал (жизнеобеспечение, эксплуатация).
Необходимо учитывать также, что особую группу внутренних антропогенных источников составляют лица с нарушенной психикой и специально внедренные и завербованные агенты, которые могут быть из числа основного, вспомогательного и технического персонала, а также представителей службы защиты информации. Данная группа рассматривается в составе перечисленных выше источников угроз, но методы парирования угрозам для этой группы могут иметь свои отличия.
18. Методы и средства информационной безопасности
Методы и средства обеспечения ИБ.
• законодательные меры обеспечения информационной безопасности;
• административные меры (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами);
• процедурные меры (меры безопасности, ориентированные на людей);
• программно-технические меры.
Законы и нормативные акты ориентированы на всех субъектов информационных отношений независимо от их организационной принадлежности (это могут быть как юридические, так и физические лица) в пределах страны; административные меры - на всех субъектов в пределах организации; процедурные – на отдельных людей или небольшие группы; программно-технические – на оборудование и программное обеспечение.
|
|
При переходе с уровня на уровень можно усмотреть применение наследования, т.е. каждый следующий уровень не отменяет, а дополняет предыдущий.
Методами обеспечения защиты информации являются следующие: препятствие, управление доступом, маскировка, регламентация, принуждение и побуждение.
Препятствие – метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т. п.).
Управление доступом – метод защиты информации регулированием использования всех ресурсов автоматизированной информационной системы организации (фирмы). Управление доступом включает следующие функции защиты:
• идентификацию пользователей, персонала и ресурсов информационной системы (присвоение каждому объекту персонального идентификатора);
• аутентификацию (установление подлинности) объекта или субъекта по предъявленному им идентификатору;
• проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);
• разрешение и создание условий работы в пределах установленного регламента;
• регистрацию (протоколирование) обращений к защищаемым ресурсам;
• реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.
Маскировка – метод защиты информации в автоматизированной информационной системе путем ее криптографического закрытия.
Регламентация – метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи информации, при которых возможность несанкционированного доступа к ней сводилась бы к минимуму.
Принуждение – такой метод защиты информации, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.
Побуждение – такой метод защиты информации, который побуждает пользователей и персонал системы не нарушать установленные правила за счет соблюдения сложившихся моральных и этических норм.